quando as organizações procuram proteger os dados do seu utilizador, é necessário que compreendam os dados que precisam de salvaguardar. Os dados pessoais, no contexto do GDPR, abrangem uma gama muito mais vasta de informações do que as informações de identificação pessoal (PII), normalmente utilizadas na América do Norte. Por outras palavras, embora todos os IPI sejam considerados dados pessoais, nem todos os dados pessoais são IPI.
isto requer alguma explicação. o que é PII?,
Pessoalmente identificável é definido pelo Escritório de Privacidade e Governo Aberto como :
“Informações que podem ser usadas para distinguir ou rastrear a identidade de um indivíduo, tais como seu nome, número de segurança social, registros biométricos, etc. só, ou quando combinado com outras informações pessoais ou identificativas que estejam ligadas ou possam ser ligadas a um indivíduo específico, tais como a data e o local de nascimento, o nome de solteira da mãe, etc.,”
Para distinguir um indivíduo é identificar um indivíduo discernindo uma pessoa da outra, e traçar um indivíduo é a de processar informações suficientes para tomar uma decisão sobre um aspecto específico de um indivíduo, de actividades ou de status. Seguindo esta definição, nome, endereço de E-mail, endereço postal, número de telefone, números de identificação pessoal (por exemplo, Segurança Social, passaporte, carta de condução, conta bancária) são considerados PII.
a informação é projetada como vinculada se qualquer informação pessoal pode ser usada para identificar um indivíduo. (como.,: nome de nascimento). A informação é categorizada como informação linkável se, por si só, pode não ser suficiente para permitir a identificação de uma pessoa, mas quando combinada com outra informação, ela pode identificar, rastrear ou localizar uma pessoa (por exemplo: Data de nascimento).por exemplo, dois conjuntos de dados contendo PII diferentes. Quando ambos os conjuntos de dados são acessíveis à mesma pessoa, torna-se possível identificar indivíduos através da combinação dos conjuntos de dados ou do acesso a informações adicionais sobre o assunto. É aqui que a segurança da informação entra em jogo., Se os controlos concebidos para manter as fontes de dados separadas forem insuficientes, considera-se que os dados estão ligados. Quando uma fonte de Informação adicional permanece externa ou à distância-o caso das bases de dados em silêncio no seio das organizações ou através de um motor de busca na internet para obter informações acessíveis ao público, considera-se que os dados são linkáveis.o que é PII sensível?
PII é considerado sensível se a perda, comprometimento ou divulgação sem autorização destes dados pode resultar em dano, embaraço, inconveniência ou injustiça para um indivíduo., Por exemplo, considera-se que a seguinte informação é sensível: informação sobre o emprego: informação sobre o emprego: informação sobre o emprego: informação sobre o emprego: informação sobre o emprego: informação sobre o emprego:,”dados pessoais”, qualquer informação relativa a uma pessoa singular identificada ou identificável (“pessoa em causa”); uma pessoa identificável é uma pessoa que pode ser identificada, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais factores específicos da sua identidade física, fisiológica, mental, económica, cultural ou social.,
nesta definição, vemos quatro elementos principais: “qualquer informação”, “sobre”, “identificada ou identificável” e “pessoa natural”.
primeiro elemento: “qualquer informação”
o termo “qualquer informação” contido na directiva exige claramente uma ampla interpretação do conceito. Quanto à natureza da Informação, isso significa que tanto a informação objetiva quanto a subjetiva de uma pessoa pode ser considerada como dados pessoais. Quanto ao conteúdo, os dados pessoais abrangem qualquer tipo de informação., A definição também é neutra em tecnologia, não importa como os dados pessoais são armazenados (por exemplo: alfabético, numérico, gráfico, fotográfico, acústico). Como exemplo, imagens de indivíduos capturados por um sistema de vigilância por vídeo podem ser dados pessoais na medida em que os indivíduos são reconhecíveis.
Second element: “relating to”
In general terms, information can be considered to “relate” to an individual when it is about that particular individual., A fim de considerar os dados relacionados a alguém, um dos três recursos fluindo deve estar presente: conteúdo, propósito, ou resultado. Estas três características devem ser consideradas como condições alternativas e não como condições cumulativas. Por conseguinte, a mesma informação pode dizer respeito a indivíduos diferentes ao mesmo tempo, dependendo do elemento presente em relação a cada um deles.
terceiro elemento: “identificado ou identificável”
“identificado” quando, dentro de um grupo de Pessoas, for “distinto” de todos os outros membros do grupo., A pessoa singular é “identificável” quando, embora a pessoa ainda não tenha sido identificada, é possível fazê-lo.
Que informação pode ser um identificador? O GDPR fornece uma lista não exaustiva de identificadores comuns que, quando utilizados, podem permitir a identificação da pessoa a quem as informações em questão se podem referir (por exemplo, nome, número de identificação, dados de localização, identificador em linha).
O conceito de “directa” ou “indirectamente” identificável implica que a medida em que certos identificadores são suficientes para obter a identificação depende do contexto., algumas características são tão únicas que alguém pode ser identificado sem esforço. Se eu mencionar “nosso chefe”, você saberá exatamente de quem estou falando. quarto elemento: “pessoa singular”
o conceito de pessoa singular refere-se ao artigo 6.º da Declaração Universal dos Direitos do homem, segundo o qual “todas as pessoas têm direito ao reconhecimento em toda a parte como pessoas perante a lei”. O direito à protecção dos dados pessoais é, nesse sentido, um direito universal que não se restringe a nacionais ou residentes num determinado país., Assim, uma pessoa singular lida com a exigência de que “dados pessoais” é sobre ” indivíduos vivos “. Nos termos do GDPR, os dados pessoais de pessoas falecidas não são abrangidos, mas podem ainda, indirectamente, receber alguma protecção em certos casos, em especial quando esses dados pessoais envolvam pessoas em causa que ainda estejam vivas.
o que são dados sensíveis sob o GDPR?os seguintes dados pessoais são considerados como categorias especiais de dados pessoais e estão sujeitos a condições específicas de tratamento de acordo com a arte., Dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas; filiação sindical; dados genéticos, dados biométricos tratados unicamente para identificar um ser humano; dados relativos à saúde; dados relativos à vida sexual de uma pessoa ou dados sensíveis.
e quanto aos identificadores online?,
Considerando 30 do Regulamento clarifica a definição de “on-line” mencionado
no Artigo 4:
“as pessoas Singulares podem ser associados a identificadores fornecidos por seus dispositivos, aplicações, ferramentas e protocolos, tais como endereços de protocolo de internet, cookies identificadores ou outros identificadores, tais como freqüência de rádio etiquetas de identificação. Isto pode deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para criar perfis das pessoas singulares e identificá-las.,”
Device IDs, IP addresses and Cookies are considered as personal data under GDPR. De acordo com a definição de PII, eles não são PII porque existem anônimos e não podem ser usados por conta própria para identificar, rastrear ou identificar uma pessoa.
e os dados sob pseudónimo?os dados pessoais são considerados anónimos se não estiverem relacionados com uma pessoa singular identificada ou identificável ou se tiverem sido tornados anónimos de modo a que a pessoa em causa não seja ou deixe de ser identificável.,por pseudónimo de dados entende-se a substituição de quaisquer características identificadoras de dados por um pseudónimo ou, por outras palavras, um valor que não permita a identificação directa da pessoa em causa. Os dados sob pseudónimo ainda são considerados dados pessoais?de acordo com o artigo 29.º do Parecer do grupo de trabalho, os dados pessoais que tenham sido desidentificados, cifrados ou pseudónimos, mas que possam ser utilizados para identificar novamente uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito do GDPR., Os dados pessoais tornados anónimos de tal forma que o indivíduo não é ou deixou de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, o anonimato tem de ser irreversível.
PI inclui qualquer informação que possa ser usada para identificar novamente dados anônimos. Informações que são anônimas e não podem ser usadas para rastrear a identidade de um indivíduo não são PII. IDs de Dispositivo, cookies e endereços IP não são considerados PII para a maioria dos Estados Unidos. Mas alguns estados, como a Califórnia, classificam estes dados como PII., A Califórnia classifica os nomes falsos e nomes de contas como informações pessoais também.
em poucas palavras, PII refere-se a qualquer informação que pode ser usada para distinguir um indivíduo de outro. A definição do GDPR de dados pessoais é – deliberadamente – muito ampla. Em princípio, abrange todas as informações relativas a um indivíduo identificável e vivo.
Deixe uma resposta